Re: [Ayuda] RedHat y OpenSSH

To: Gunnar Wolf <gwolf en campus iztacala unam mx>
Subject: Re: [Ayuda] RedHat y OpenSSH
From: Cristian Othon Martinez Vera <cfuga en itam mx>
Date: 05 Jul 2002 19:14:50 -0500
Cc: ayuda en linux org mx
In-reply-to: <Pine.BSO.4.44.0207051754210.16595-100000@campus.iztacala.unam.mx>
List-archive: <https://pegaso.fisica.unam.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
References: <Pine.BSO.4.44.0207051754210.16595-100000@campus.iztacala.unam.mx>
Sender: ayuda-admin en linux org mx

El vie, 05-07-2002 a las 18:17, Gunnar Wolf escribió:
> Hola,
> 
> Como muchos de ustedes saben, hace unos dias fue descubierta una
> importante vulnerabilidad en OpenSSH, versiones entre 2.9 y 3.3, que
> otorga privilegios de superusuario con bastante facilidad. Practicamente
> todas las distribuciones, asi como muchos otros sistemas operativos,
> reaccionaron de inmediato, liberando la version 3.4, que implementa muchas
> correcciones, principalmente la funcionalidad 'privsep' - separacion de
> privilegios. RedHat decidio *no* hacerlo, pues en la configuracion por
> default de su distribucion no es vulnerable... Sin embargo, con alterar
> un poco el archivo de configuracion, o con que alguien analice el codigo y
> encuentre un error -algo no muy poco probable, segun los desarrolldores-
> en el codigo que en 3.1 sigue corriendo como root... pueden pasar cosas
> muy feas.
> 
> Les adjunto aca un correo en el que explican esta situacion, con una liga
> para bajar los RPMs necesarios para actualizar a 3.4
> 
> ...Esto es, para quien me haya preguntado recientemente, un ejemplo de lo
> que critico del control de calidad en RH ;-)
> 
> -- 
> Gunnar Wolf - gwolf en campus iztacala unam mx - (+52-55)5623-1118
> PGP key 1024D/8BB527AF 2001-10-23
> Fingerprint: 0C79 D2D1 2C4E 9CE4 5973  F800 D80E F35A 8BB5 27AF

 Gunnar, tienes toda la razon. Red Hat solamente enfoca sus esfuerzos en
los usuarios que pagan soporte. Yo me tope con el problema al construir
el paquete para la siguiente version de LinuxPPP (si, LinuxPPP sigue
vivo y coleando). 

 El paquete de Red Hat NUNCA se probo en su version 6.2, aunque el
archivo 'spec' diga lo contrario. Para crear el paquete solamente
tomaron UN parche que corrige UNICAMENTE la vulnerabilidad descrita en
la notificacion liberada por ISS. Resulta que este parche depende de
__func__, una definicion que no tiene soporte en el compilador de 6.2.
Resultado: ni siquiera compila el invento. En cambio, openssh 3.4p1
incluye una prueba en 'configure' para evitar este problema. Ademas, la
ultima version requiere menos parches y hasta tiene nuevas opciones,
para evitar invadir el codigo para establecer el valor por omision de la
variable de ambiente PATH.

 Ya revise el 'spec' ofrecido por Kurt Seifried, y esta muy bien. Solo
que omitio el soporte a GNOME, aunque no es dificil activarlo para
aquellos que lo utilicen.

> ---------- Forwarded message ----------
> Date: Fri, 5 Jul 2002 13:49:22 -0600
> From: Kurt Seifried <openbsd en seifried org>
> To: jrosenberg en rossint net, misc en openbsd org
> Subject: Re: openssh fiasco
> 
> Red Hat will not be issuing 3.3 or 3.4 rpm's for 7.x. Looks like redhat 8.0
> beta is out (code named limbo), it has openssh 3.4. I have made rpm spec
> files available for 7.x, openssh.com does as well, redhat's 3.4 rpm's mostly
> work on older redhat too. This really sucks though cause the majority of
> redhat users are running 3.1 with a backported fix, none of the fixes in
> 3.3/3.4 are there, to say nothing of privsep which would protect them. I can
> just imagine all the crackers gleefully looking at 3.1 -> 3.4 diff files and
> finding exploitable problems. The reason redhat won't ship 3.4 is that it
> would cost a lot more then a backported 3.1 from a support point of view,
> and really, how many sales are they going to lose from this? I doubt very
> many.
> 
> http://seifried.org/security/os/linux/redhat/20020701-rh7x-openssh-34.html
> 
> 
> Kurt Seifried, kurt en seifried org
> A15B BEE5 B391 B9AD B0EF
> AEB0 AD63 0B4E AD56 E574
> http://seifried.org/security/

					Saludos
-- 
__(o< | Nombres/Names:        Cristian Othón  | cfuga en itam mx
\/|/  | Apellidos/Last Names: Martínez Vera   | http://cfuga.net/
/_/_  |                                       | http://linuxppp.com/
      |    "Pulchrum est paucorum hominum"    - Horace
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/

Mensaje(s) a continuación:
- Re: [Ayuda] RedHat y OpenSSH
  - De: Arturo Espinosa Aldama

Referencias:
- [Ayuda] RedHat y OpenSSH
  - De: Gunnar Wolf

Previo por Fecha: [Ayuda] Re: [Anuncios] UERGS: Software livre a serviço do conhecimento (fwd)
Siguiente por Fecha: [Ayuda] Re: [Anuncios] UERGS: Software livre a serviço do conhecimento (fwd)
Previo por Hilo: Re: [Ayuda] RedHat y OpenSSH
Siguiente por Hilo: Re: [Ayuda] RedHat y OpenSSH

[Hilos de Discusión] [Fecha] [Tema] [Autor]